计算机取证(也称为计算机取证科学)是数字取证科学的一个分支,涉及在计算机和数字存储介质中发现的证据。计算机取证的目标是以非常合理的方式看待数字媒体,目的是区分、保存、恢复、分析和呈现有关数字信息的事实和观点。
计算机取证在公司中发挥着重要作用,因为我们对计算设备和互联网的依赖与日俱增。与加州大学进行的一项调查相一致,1999 年产生的所有信息中有 93% 是以数字形式生成的,在计算机上,只有 7% 的剩余信息是使用不同来源(如纸张等)生成的。它不会永远直接向前收集证据,因为知识也被调和、删除、隐藏或加密。
数字取证调查可能是一项非常热门的任务,需要公开各种工具、技术和技巧,以从犯罪现场或犯罪中使用的数字设备中查找和篡改数字证据。随着智能手机、平板电脑、掌上电脑、智能电视等数字设备的处理能力和计算速度不断提高,无法排除使用这些设备进行网络犯罪的可能性。法医调查员不仅应该深入了解这些设备的操作,还应该积极接触正确的数据检索工具,以保护信息的价值和完整性。
计算机经常被有意或无意地用于网络犯罪。故意使用是使用您的计算机发送仇恨邮件或将破解版的副学士学位其他许可代码放入您的计算机。无意使用是您受害的计算机包含病毒,它会传播到网络中,并在室外传播网络,从而对某人造成重大的金钱损失。同样,计算机通常不会直接实施数字犯罪。例如,您的计算机被用来访问敏感和机密的知识,因此数据被分发到网络内部/外部的某个人,世界卫生组织将使用这些数据为他自己谋利。对计算机的间接利用是曾经在下载破解代码时,木马在计算机内停留,而在网络内制造后门以方便黑客。目前,黑客登录您的计算机并使用它进行网络犯罪。副学士学位知识渊博的计算机取证调查员在识别直接和间接攻击方面起着至关重要的作用。计算机取证顾问还有助于恢复意外知识丢失,发现工业卧底工作,伪造等。
在大型组织中,目前由于事件处理团队检测到网络犯罪,负责观察和检测计算机或网络上的安全事件,因此遵循初始事件管理流程。这通常是内部副学士学位的方法。它遵循以下步骤:
- 准备:组织准备事件响应提示并分配角色,从而分配事件响应团队每个成员的职责。大多数大型组织在市场上都享有盛誉,任何负面情绪都可能对股东的情绪产生负面影响。因此,需要有效的沟通来宣布事件。因此,支持成员技能集的角色分配至关重要。
- 识别:支持事件响应团队验证事件是否真的发生的特征。验证事件的最常见程序之一是
检查日志。一旦验证了事件的普遍性,就要评估攻击的影响。 - 遏制:支持评估团队的反馈,在此步骤中计划了对事件进行反击的长期行动方案。
- 根除:在这一步中,消灭或减轻威胁背后原因的策略是有计划的和死亡的。
- 恢复:是在消除物质时恢复到常规操作状态的方法。
- 经验教训:如果事件的替代形式是遭遇,则将其记录下来,以便这些知识在将来通常不会处理此类事件。
该方法的第二步是进行计算机取证调查以寻找犯罪证据,这通常由第三方公司执行。计算机取证调查包括以下步骤:
- 建立事件和证据:这通常是系统管理员执行的主要步骤,无论他在哪里尝试收集有关事件的最大信息量。支持此信息,评估攻击的范围和严重性。一旦发现攻击的证据,将采取相同的备份以进行调查。很少在第一台机器上进行修辞调查,而是对从备份改造而来的信息进行调查。
- 收集和保存证据: Helix、WinHex、FKT Imager 等各种工具都不会捕获信息。一旦获得了信息的备份,证据就会被保管,因此备份也会被保管。计算备份的 MD5(消息摘要)哈希并与第一个匹配以测试信息的完整性。其他重要的知识来源,如系统日志、网络信息、入侵检测系统 (IDS) 生成的日志、端口和方法信息也被捕获。
- 调查:磁盘映像从备份中重构,因此调查是通过查看日志、系统文件、删除和更新文件、处理器使用和处理日志、临时文件、受机密保护和加密的文件、图像、视频和可实现的隐写信息等的知识文件。
- 总结和陈述:事件的总结按时间顺序给出。支持调查,得出结论并解释可达到的原因。
在完成数字取证调查时,应应用规则和程序。尤其是在捕获证据时。应该确保为捕获信息而采取的操作不会修改证明。应保持信息的完整性。应确保用于捕获备份的设备不受污染。此外,与数字证明的扣押、访问、存储或传输相关的所有活动都必须被绝对记录、保存并可供审查。预防通常高于治疗。永远建议微调您的入侵检测系统,例如防火墙,偶尔会在您的网络上执行渗透测试,以避免向黑客祈祷。然而最后但并非最不重要的,报告犯罪。